Der Schutz Ihres Zenovay-Kontos ist entscheidend, um Ihre Analysedaten zu sichern und das Vertrauen Ihrer Nutzer zu bewahren. Befolgen Sie diese bewährten Praktiken, um Ihr Konto sicher zu halten.
Wesentliche Sicherheits-Checkliste
Führen Sie diese Schritte durch, um Ihr Konto zu sichern:
- Verwenden Sie ein starkes, einzigartiges Passwort
- Aktivieren Sie die Multi-Faktor-Authentifizierung
- Speichern Sie Backup-Codes sicher
- Verifizieren Sie Ihre E-Mail-Adresse
- Überprüfen Sie aktive Sitzungen regelmäßig
- Überprüfen Sie Ihre Anmeldungsaktivität regelmäßig
- Halten Sie Wiederherstellungsoptionen aktuell
Passwortsicherheit
Starke Passwörter erstellen
| Praxis | Warum es wichtig ist |
|---|---|
| Mindestens 12 Zeichen | Länger = schwerer zu knacken |
| Mischung aus Zeichentypen | Mehr Kombinationsmöglichkeiten |
| Keine persönlichen Informationen | Kann nicht recherchiert werden |
| Einzigartig für Zenovay | Ein Datenleck anderswo betrifft Sie nicht |
| Passwort-Manager verwenden | Merkt sich komplexe Passwörter |
Passwort-Verbote
- Verwenden Sie Passwörter nicht auf mehreren Seiten wieder
- Teilen Sie Ihr Passwort mit niemandem
- Speichern Sie Passwörter nicht im Klartext
- Verwenden Sie keine gängigen Wörter oder Muster
- Verwenden Sie keine persönlichen Informationen
Passwort-Manager
Verwenden Sie einen seriösen Passwort-Manager wie 1Password, Bitwarden oder Dashlane, um starke, einzigartige Passwörter zu generieren und zu speichern.
Multi-Faktor-Authentifizierung
MFA-Priorität
Aktivieren Sie MFA-Methoden in dieser Reihenfolge der Präferenz:
- Sicherheitsschlüssel (WebAuthn) - Am sichersten, Phishing-resistent
- Authenticator-Apps (TOTP) - Sehr sicher, weit verbreitet
Bewährte MFA-Praktiken
- Aktivieren Sie mindestens eine MFA-Methode
- Erwägen Sie mehrere Methoden zur Redundanz
- Bewahren Sie Backup-Codes an einem sicheren Ort auf
- Testen Sie Ihre MFA-Einrichtung regelmäßig
- Teilen Sie MFA-Codes niemals mit jemandem
Zenovay wird Sie niemals per E-Mail, Telefon oder Chat nach Ihren MFA-Codes fragen. Solche Anfragen sind immer Phishing-Versuche.
Backup-Code-Verwaltung
Backup-Codes aufbewahren
Empfohlen:
- Passwort-Manager (verschlüsselt)
- Verschlüsselte Datei auf sicherem Speicher
- Physischer Tresor oder Bankschließfach
Nicht empfohlen:
- Klartextdateien auf Ihrem Computer
- E-Mails an sich selbst
- Unverschlüsselter Cloud-Speicher
- Haftnotizen
Backup-Code-Wartung
- Halten Sie mindestens 5 unbenutzte Codes bereit
- Generieren Sie neue, wenn der Vorrat knapp wird
- Aktualisieren Sie den Speicherort nach der Neugenerierung
- Testen Sie Codes regelmäßig
Sitzungssicherheit
Automatisches Inaktivitäts-Timeout
Ihre Sitzung wird nach 30 Minuten Inaktivität automatisch beendet, um Ihr Konto zu schützen, falls Sie Ihren Computer verlassen. So funktioniert es:
| Detail | Beschreibung |
|---|---|
| Timeout-Zeitraum | 30 Minuten ohne Aktivität |
| Warnung | Eine Benachrichtigung erscheint 5 Minuten vor dem Timeout |
| Aktivität, die den Timer zurücksetzt | Klicken, Scrollen, Tippen oder Mausbewegung |
| Nach dem Timeout | Sie werden zur Anmeldeseite weitergeleitet |
Was passiert, wenn Ihre Sitzung abläuft
Warnbenachrichtigung
Eine Benachrichtigung erscheint, die Sie darüber informiert, dass Ihre Sitzung in 5 Minuten abläuft. Klicken Sie irgendwo auf die Seite, um angemeldet zu bleiben.
Weiterleitung zur Anmeldeseite
Wenn keine Aktivität erkannt wird, werden Sie automatisch zur Anmeldeseite weitergeleitet.
Erneut anmelden
Geben Sie Ihre Anmeldedaten (und MFA, falls aktiviert) ein, um eine neue Sitzung zu starten.
Zurück zu Ihrer Seite
Nach der Anmeldung werden Sie zu der Seite zurückgebracht, auf der Sie sich vor dem Timeout befanden.
Angemeldet bleiben
Um zu verhindern, dass Ihre Sitzung abläuft, klicken Sie einfach irgendwo auf die Seite, scrollen Sie, tippen Sie oder bewegen Sie Ihre Maus. Jede dieser Aktionen setzt den 30-Minuten-Timer zurück.
Abmelden
Wenn Sie sich von Zenovay abmelden, wird der Abmeldevorgang über alle Zenovay-Dienste (App, Auth, Docs, Hilfe usw.) ausgeführt, um sicherzustellen, dass Sie überall vollständig abgemeldet sind. Verwenden Sie immer die Abmelden-Schaltfläche, anstatt einfach Ihren Browser zu schließen.
Aktive Sitzungsverwaltung
- Überprüfen Sie Sitzungen wöchentlich
- Melden Sie Sitzungen ab, die Sie nicht erkennen
- Melden Sie sich regelmäßig von allen Sitzungen ab
- Bleiben Sie niemals auf gemeinsam genutzten Computern angemeldet
Anmeldesicherheit
- Melden Sie sich nur in vertrauenswürdigen Netzwerken an
- Verwenden Sie privates Surfen auf öffentlichen Computern
- Melden Sie sich immer von gemeinsam genutzten Geräten ab
- Überprüfen Sie Ihre Anmeldungsaktivität regelmäßig
Kontosperrungsschutz
Zenovay schützt Ihr Konto automatisch vor unbefugten Anmeldeversuchen. Wenn jemand versucht, Ihr Passwort zu erraten, wird das System Ihr Konto vorübergehend sperren.
Wie die Sperrung funktioniert
Nach 10 aufeinanderfolgenden fehlgeschlagenen Anmeldeversuchen wird Ihr Konto vorübergehend gesperrt. Sie sehen eine Warnung, wenn Sie noch 3 oder weniger Versuche übrig haben, damit Sie Ihre Anmeldedaten überprüfen können.
Progressive Sperrdauer
Wiederholte Sperrungen führen zu fortschreitend längeren Wartezeiten:
| Sperrung | Dauer |
|---|---|
| 1. Sperrung | 5 Minuten |
| 2. Sperrung | 15 Minuten |
| 3. Sperrung | 30 Minuten |
| 4. und weitere | 60 Minuten |
Die Kontosperrung wird serverseitig durchgesetzt. Das Löschen Ihrer Browser-Cookies oder der Wechsel des Browsers umgeht die Sperrung nicht. Dies stellt sicher, dass Ihr Konto auch gegen automatisierte Angriffe geschützt bleibt.
Netzwerkbasierte Ratenbegrenzung
Zusätzlich zur Kontosperrung verwendet Zenovay eine netzwerkbasierte Ratenbegrenzung, um automatisierte Angriffe zu blockieren. Schnelle Anmeldeversuche aus demselben Netzwerk werden verlangsamt oder blockiert, bevor sie Ihr Konto erreichen können.
Ihr Konto entsperren
Wenn Ihr Konto gesperrt ist, haben Sie drei Möglichkeiten:
- Warten Sie, bis die Sperrfrist abläuft, und versuchen Sie es erneut
- Setzen Sie Ihr Passwort zurück über den Link „Passwort vergessen", wodurch Ihr Konto sofort entsperrt wird
- Kontaktieren Sie den Support unter [email protected], wenn Sie keinen Zugang mehr erhalten
Sperrungen vermeiden
Wenn Sie Schwierigkeiten haben, sich an Ihr Passwort zu erinnern, nutzen Sie die Passwort-Zurücksetzen-Option, bevor Ihre Versuche aufgebraucht sind. Erwägen Sie die Verwendung eines Passwort-Managers, um diese Situation in Zukunft zu vermeiden.
Bedrohungen erkennen
Phishing-Angriffe
Warnsignale, auf die Sie achten sollten:
- E-Mails, die nach Passwörtern oder MFA-Codes fragen
- Dringende Nachrichten, die Panik erzeugen
- Links zu gefälschten Anmeldeseiten
- Anfragen vom „Zenovay-Support" über ungewöhnliche Kanäle
Legitimität überprüfen
- Überprüfen Sie E-Mail-Absenderadressen sorgfältig
- Fahren Sie mit der Maus über Links, bevor Sie klicken
- Gehen Sie direkt zu app.zenovay.com (klicken Sie nicht auf Links)
- Kontaktieren Sie den Support über offizielle Kanäle, wenn Sie unsicher sind
Was Zenovay niemals tun wird
- Nach Ihrem Passwort fragen
- MFA-Codes per E-Mail/Telefon anfordern
- Mit sofortiger Kontolöschung drohen
- Sie auffordern, Fernzugriffssoftware zu installieren
Teamsicherheit
Für Teambesitzer
- Überprüfen Sie Teammitglieder regelmäßig
- Entfernen Sie inaktive Mitglieder umgehend
- Verwenden Sie rollenbasierte Zugriffskontrolle
- Verlangen Sie MFA für alle Teammitglieder (Enterprise)
- Überwachen Sie Team-Aktivitätsprotokolle
Für Teammitglieder
- Verwenden Sie Ihr eigenes Konto (nicht teilen)
- Melden Sie verdächtige Aktivitäten Ihrem Administrator
- Befolgen Sie die Sicherheitsrichtlinien Ihrer Organisation
- Halten Sie Ihre Anmeldedaten vertraulich
API-Sicherheit
Bewährte API-Key-Praktiken
- Betten Sie API-Keys nicht in clientseitigen Code ein
- Rotieren Sie API-Keys regelmäßig
- Verwenden Sie separate Keys für verschiedene Integrationen
- Widerrufen Sie unbenutzte Keys sofort
- Überwachen Sie die API-Nutzung auf Anomalien
Sichere API-Nutzung
- Verwenden Sie immer HTTPS
- Protokollieren Sie niemals API-Keys
- Speichern Sie Keys in Umgebungsvariablen
- Verwenden Sie nach Möglichkeit Key-Management-Dienste
Gerätesicherheit
Ihre Geräte sichern
- Halten Sie Betriebssysteme aktuell
- Verwenden Sie Antivirus-/Antimalware-Software
- Aktivieren Sie Geräteverschlüsselung
- Verwenden Sie Bildschirmsperren (PIN, Biometrie)
- Aktivieren Sie „Mein Gerät finden"-Funktionen
Browser-Sicherheit
- Halten Sie Browser aktuell
- Verwenden Sie seriöse Browser
- Seien Sie vorsichtig mit Erweiterungen
- Löschen Sie Cookies auf gemeinsam genutzten Computern
- Verwenden Sie bei Bedarf privates Surfen
Netzwerksicherheit
Sicheres Surfen
- Vermeiden Sie öffentliches WLAN für sensible Zugriffe
- Verwenden Sie VPN in nicht vertrauenswürdigen Netzwerken
- Stellen Sie HTTPS sicher (achten Sie auf das Schloss-Symbol)
- Ignorieren Sie keine Browser-Sicherheitswarnungen
Unternehmensnetzwerke
- Befolgen Sie die Richtlinien Ihrer IT-Abteilung
- Verwenden Sie das vom Unternehmen genehmigte VPN
- Melden Sie Sicherheitsvorfälle umgehend
Ihr Konto überwachen
Regelmäßige Sicherheitsüberprüfungen
| Überprüfung | Häufigkeit |
|---|---|
| Aktive Sitzungen | Wöchentlich |
| Anmeldeverlauf | Wöchentlich |
| MFA-Einstellungen | Monatlich |
| Anzahl der Backup-Codes | Monatlich |
| Teammitglieder (wenn Besitzer) | Monatlich |
| API-Keys | Vierteljährlich |
Auf verdächtige Aktivität achten
Überprüfen Sie Ihre Anmeldungsaktivität und aktiven Sitzungen regelmäßig, und reagieren Sie auf alles, das Sie nicht erkennen:
- Anmeldungen von einem neuen Gerät oder Standort
- Unerwartete fehlgeschlagene Anmeldeversuche
- Passwort- oder MFA-Änderungen, die Sie nicht vorgenommen haben
Wenn etwas falsch aussieht, ändern Sie sofort Ihr Passwort und melden Sie sich von anderen Sitzungen ab. Weitere Informationen finden Sie unter Anmeldesicherheit & Fehlgeschlagener Anmeldeschutz.
Auf Sicherheitsvorfälle reagieren
Wenn Sie eine Kompromittierung vermuten
Passwort ändern
Setzen Sie Ihr Passwort sofort zurück.
Alle Sitzungen abmelden
Beenden Sie alle aktiven Sitzungen.
MFA zurücksetzen
Deaktivieren Sie MFA und richten Sie es neu ein.
Backup-Codes neu generieren
Erstellen Sie neue Backup-Codes.
Kontoaktivität überprüfen
Prüfen Sie auf unbefugte Änderungen.
API-Keys widerrufen
Generieren Sie alle API-Keys neu.
Support kontaktieren
Melden Sie den Vorfall zur Untersuchung.
Enterprise & Scale-Sicherheitsfunktionen
Enterprise PlanZusätzliche Sicherheitsfunktionen auf höheren Plänen:
- SSO/SAML-Integration: Zentralisierte Single-Sign-On für Ihr Team (Scale und Enterprise)
- Audit-Protokollierung: Ein detailliertes Aktivitätsprotokoll von Änderungen in Ihrem Arbeitsbereich (erweitertes Audit-Protokoll auf Scale und Enterprise)
Infrastrukturzertifizierungen
Zenovay ist selbst nicht SOC 2- oder ISO 27001-zertifiziert. Wir bauen auf Infrastrukturanbieter auf, die es sind: Cloudflare (SOC 2 Type II, ISO 27001, ISO 27018) und Supabase (SOC 2 Type II). Zahlungen werden von Stripe (PCI DSS Level 1) verarbeitet, daher berührt Zenovay niemals rohe Kartendaten.
Sicherheitsprobleme melden
Haben Sie eine Sicherheitslücke gefunden? Kontaktieren Sie uns:
- E-Mail: [email protected]
- Betreff: „Sicherheitsbericht - [Kurze Beschreibung]"
- Wir antworten auf Berichte innerhalb von 48 Stunden
- Verantwortungsvolle Offenlegung wird geschätzt
Zusammenfassung
| Kategorie | Wichtigste Maßnahmen |
|---|---|
| Passwort | Einzigartig, stark, Manager verwenden |
| MFA | Aktivieren, Sicherheitsschlüssel/TOTP bevorzugen |
| Backup | Codes sicher aufbewahren |
| Sitzungen | 30-Min-Inaktivitäts-Timeout, wöchentlich überprüfen, unbenutzte abmelden |
| Sperrung | 10 Fehlversuche lösen Sperrung aus, progressive Dauer |
| Aktivität | Anmeldeverlauf und aktive Sitzungen regelmäßig überprüfen |
| Wachsamkeit | Phishing-Zeichen kennen, Anfragen verifizieren |
Nächste Schritte
- MFA einrichten, falls noch nicht aktiviert
- Ihre Sitzungen überprüfen
- Ihre Anmeldesicherheit überprüfen
- Ihre Backup-Codes sichern